账号注册找回密码
 

奇瑰网社区

软件破解补丁隐藏窃密木马,毒害全球数百万网民

[复制链接]

258

主题

371

帖子

5089

积分

网站民审组

Rank: 7Rank: 7Rank: 7

G币
22
信用
30
体力
1064

论坛版主周年纪念

发表于 2020-7-28 21:51:41 | 显示全部楼层 |阅读模式
软件破解补丁隐藏窃密木马,毒害全球数百万网民

本文作者:腾讯电脑管家, 本文转载自:FreeBuf.COM

一、背景

腾讯安全威胁情报中检测到大量用户感染CracxStealer窃密木马,追踪病毒来源发现源于境外某个软件破解补丁下载站(cracx[.]com)。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马,木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息,腾讯电脑管家及腾讯T-Sec终端安全管理系统均可查杀该病毒。

1594293793.jpg

根据CracxStealer窃密木马运营者的页面统计数据,该网站单个破解补丁下载次数超过8万次,而该网站提供的常用软件(包括许多大型商业软件)破解补丁有数百种之多,全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截:

1594293808.jpg

CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码,搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息,以及获取电脑IP定位、操作系统版本、硬件和软件信息,桌面截屏,然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com,腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”。

二、样本分析

我们选择该站提供的一个大型商业软件破解补丁为例进行分析:

CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具,在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示,付费使用版本每年费用为399美元,约2600元/年。

1594293831.jpg

网民一般会先从官网下载一个试用版安装,然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip,下载页面显示该程序已有超过8万次的下载。

1594293846.jpg

该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证,套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后,会依次经过以下URL跳转,并最终通过https[:]//filedl7.ga下载文件。

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ (路径随机生成)

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ (路径随机生成)

1594293856.jpg

下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5,解压后包含以下文件。

1594293868.jpg

使用([email protected]$$ izz) 44556677.txt中提示的密码44556677对setup_installer.zip进行解压,可以得到NSIS打包的安装包程序setup_installer.exe。

1594293877.jpg

setup_installer.exe是病毒母体,首先通过插件UserInfo.dll获取当前进程用户账户,如果不是Admin,则利用UAC.dll提升到管理员权限。

1594293886.jpg

1594293896.jpg

然后释放窃密木马11.exe、rokger.exe到"$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动,还会执行脚本11.vbs,在其中通过Get请求短链接https[:]//iplogger.org/1yzUq7,短链接在不同的样本中会有所不同,由于目前访问都返回失败,所以暂不清楚此网络请求的目的。

1594293913.jpg

1594293921.jpg

窃密木马部分代码添加了VMP壳进行保护。

1594293931.jpg

窃密木马从浏览器配置文件、数据库文件、Cookie中获取登陆账号密码,支持国内外多款浏览器包括Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。

1594293941.jpg

搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。

1594293953.jpg

查询本机IP、IP所属位置、运营商属性等信息保存至随机名txt文件,以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt。

1594293963.jpg

1594293971.jpg

拍摄屏幕截图并保存为screenshot.jpg。

1594293982.jpg

将搜集到的所有信息打包为随机名zip压缩包文件,存放至ProgramData目录下。

1594293991.jpg

最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php

1594294001.jpg

IOCs

Domain

mdpoter03.top

urep03.top

saytt03.top

URL

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/

https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/

https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/

http[:]//mdpoter03.top/index.php

http[:]//urep03.top/index.php

http[:]//saytt03.top/index.php

https[:]//iplogger.org/1yzUq7

md5

Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38

RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip

7ed9a320c44d119e3d596efa218deab8

ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip

b366c329bcf624214bdfc23d7bedcb78

CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip

0083d7942c28e7a252dea391607917a5

installer_setup.exe

45ec40f05b5df3e21b6aad950da23bb1

installer_setup.exe

c5e4d08164364790eca5b3e8cf64ff79

installer_setup.exe

ada1ffc753347613cee9bcddac9763a1

installer_setup.exe

29bd44a4ed92568ddf67327ece8ace17

9.exe

d7997aeb03bfa17ae03e6ee85a5afadd

9.exe

e4c1146393fe67ccbb4789eba8db6b31

09.exe

18f235a24f4a7cfd2d0a5db61aac5921

caram.exe

ad8f303e25c56bc0b2c9a36c0ee37a3e

011.exe

b01ea80301d452d6b1337fce7cae4a40

11.exe

59cab6695a858e586be0dc0c3c781f6c

rokger.exe

a73ba165224417ec58fa88158dad6026

010.exe

c3e3127dd3185af88d40aa019c196694

10.exe

3bdef68d720360f362cdeec0463c282a

mertol.exe

8d5135bde449bc826b415043a03ebcce

11.vbs

2ecc0c2e30c22359b0f3e20df9b3af65

10.vbs

6ee3b4ca9f4e22a0d2b5bfbb20b1b322

9.vbs

732d3599f7f4aac60f9d08e487e62bf5







上一篇:被放大的“脱发焦虑”,90 后成植发主力军
下一篇:支付宝的「混合流量」打法与商家V字反弹秘诀
最新资讯,网红爆料,科技资讯,八卦娱乐

0

主题

134

帖子

95

积分

资深会员

Rank: 2

G币
10
信用
0
体力
30
发表于 2020-7-28 21:54:39 | 显示全部楼层
纯粹路过,没任何兴趣,仅仅是看在老用户份上回复一下
回复

使用道具 举报

0

主题

44

帖子

73

积分

资深会员

Rank: 2

G币
0
信用
0
体力
26
发表于 2020-7-28 22:04:26 | 显示全部楼层
谢谢分享,下载下来试试,希望一切好用
回复

使用道具 举报

0

主题

132

帖子

89

积分

资深会员

Rank: 2

G币
0
信用
0
体力
32
发表于 2020-7-28 22:09:27 | 显示全部楼层
能不能用
回复

使用道具 举报

0

主题

44

帖子

73

积分

资深会员

Rank: 2

G币
0
信用
0
体力
26
发表于 2020-7-28 22:17:23 | 显示全部楼层
不错 支持一个了
回复

使用道具 举报

0

主题

284

帖子

190

积分

资深会员

Rank: 2

G币
10
信用
0
体力
-8
发表于 2020-7-28 22:23:59 | 显示全部楼层
非常好,顶一下
回复

使用道具 举报

0

主题

260

帖子

170

积分

资深会员

Rank: 2

G币
10
信用
0
体力
-4
发表于 2020-7-28 22:28:07 | 显示全部楼层
为了三千积分!
回复

使用道具 举报

0

主题

264

帖子

189

积分

资深会员

Rank: 2

G币
10
信用
0
体力
-4
发表于 2020-7-28 22:31:16 | 显示全部楼层
新人看看怎么样
回复

使用道具 举报

0

主题

69

帖子

143

积分

资深会员

Rank: 2

G币
5
信用
0
体力
54
发表于 2020-7-28 22:34:32 | 显示全部楼层
路过的帮顶
回复

使用道具 举报

使用高级回帖 (可批量传图、插入视频等)

发表回复

您需要登录后才可以回帖 登录 | 账号注册  

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
Powered by Discuz! X3.4 ( 粤ICP备20013252号-1  
Copyright © 2014-2020 奇瑰网 All Rights Reserved.
快速回复 返回顶部 返回列表